電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案與對(duì)策

1、-PAGE . z.- - - z - *電力信息網(wǎng)絡(luò)平安防護(hù)系統(tǒng)設(shè)計(jì)方案目 錄 TOC o 1-3 h z HYPERLINK l _Toc4350192991. 引言 PAGEREF _Toc435019299 h 3HYPERLINK l _Toc4350193001.1信息平安體系建立的必要性 PAGEREF _Toc435019300 h 3HYPERLINK l _Toc4350193011.2解決信息平安問題的總體思路 PAGEREF _Toc435019301 h 3HYPERLINK l _Toc4350193021.3*電力公司信息網(wǎng)平安防護(hù)策略 PAGEREF _Toc4

2、35019302 h 4HYPERLINK l _Toc4350193031.3.1 *電力公司總體平安策略 PAGEREF _Toc435019303 h 4HYPERLINK l _Toc4350193041.3.2 *電力信息平安總體框架 PAGEREF _Toc435019304 h 5HYPERLINK l _Toc4350193051.3.3 防護(hù)策略 PAGEREF _Toc435019305 h 5HYPERLINK l _Toc435019306對(duì)網(wǎng)絡(luò)的防護(hù)策略 PAGEREF _Toc435019306 h 5HYPERLINK l _Toc435019307對(duì)主機(jī)的防護(hù)策

3、略 PAGEREF _Toc435019307 h 6HYPERLINK l _Toc435019308對(duì)系統(tǒng)的防護(hù)策略 PAGEREF _Toc435019308 h 6HYPERLINK l _Toc435019309 對(duì)終端的防護(hù)策略 PAGEREF _Toc435019309 h 6HYPERLINK l _Toc4350193102. 設(shè)計(jì)依據(jù) PAGEREF _Toc435019310 h 7HYPERLINK l _Toc4350193112.1 信息平安管理及建立的國際標(biāo)準(zhǔn)ISO-17799 PAGEREF _Toc435019311 h 7HYPERLINK l _Toc43

4、50193123. *電力信息網(wǎng)平安現(xiàn)狀 PAGEREF _Toc435019312 h 7HYPERLINK l _Toc4350193133.1 管理平安現(xiàn)狀 PAGEREF _Toc435019313 h 7HYPERLINK l _Toc4350193143.2 網(wǎng)絡(luò)平安現(xiàn)狀 PAGEREF _Toc435019314 h 8HYPERLINK l _Toc4350193153.3 主機(jī)及業(yè)務(wù)系統(tǒng)平安現(xiàn)狀 PAGEREF _Toc435019315 h 9HYPERLINK l _Toc4350193163.4 終端平安現(xiàn)狀 PAGEREF _Toc435019316 h 11HYPE

5、RLINK l _Toc4350193174建立目標(biāo) PAGEREF _Toc435019317 h 13HYPERLINK l _Toc4350193185平安區(qū)域的劃分方案 PAGEREF _Toc435019318 h 13HYPERLINK l _Toc4350193195.1網(wǎng)絡(luò)平安域劃分原則 PAGEREF _Toc435019319 h 13HYPERLINK l _Toc4350193205.2網(wǎng)絡(luò)區(qū)域邊界訪問控制需求 PAGEREF _Toc435019320 h 14HYPERLINK l _Toc4350193215.3邊界網(wǎng)絡(luò)隔離和訪問控制 PAGEREF _Toc43

6、5019321 h 16HYPERLINK l _Toc435019322區(qū)域邊界的訪問控制 PAGEREF _Toc435019322 h 16HYPERLINK l _Toc435019323敏感區(qū)域邊界的流量審計(jì) PAGEREF _Toc435019323 h 16HYPERLINK l _Toc435019324敏感區(qū)域邊界的網(wǎng)絡(luò)防入侵及防病毒 PAGEREF _Toc435019324 h 16HYPERLINK l _Toc4350193256*電力信息網(wǎng)防火墻部署方案 PAGEREF _Toc435019325 h 17HYPERLINK l _Toc4350193266.1省公

7、司防火墻和集成平安網(wǎng)關(guān)的部署 PAGEREF _Toc435019326 h 17HYPERLINK l _Toc4350193276.2地市公司防火墻和集成平安網(wǎng)關(guān)的部署 PAGEREF _Toc435019327 h 21HYPERLINK l _Toc4350193286.3 技術(shù)要求 PAGEREF _Toc435019328 h 23HYPERLINK l _Toc4350193297*電力信息網(wǎng)網(wǎng)絡(luò)防病毒方案 PAGEREF _Toc435019329 h 24HYPERLINK l _Toc4350193307.1 *電力防病毒軟件應(yīng)用現(xiàn)狀 PAGEREF _Toc4350193

8、30 h 24HYPERLINK l _Toc4350193317.2企業(yè)防病毒總體需求 PAGEREF _Toc435019331 h 24HYPERLINK l _Toc4350193327.3功能要求 PAGEREF _Toc435019332 h 25HYPERLINK l _Toc4350193337.4*電力網(wǎng)防病毒系統(tǒng)整體架構(gòu)和管理模式 PAGEREF _Toc435019333 h 26HYPERLINK l _Toc435019334采用統(tǒng)一監(jiān)控、分布式部署的原則 PAGEREF _Toc435019334 h 26HYPERLINK l _Toc435019335部署全面的

9、防病毒系統(tǒng) PAGEREF _Toc435019335 h 28HYPERLINK l _Toc435019336病毒定義碼、掃描引擎的升級(jí)方式 PAGEREF _Toc435019336 h 29HYPERLINK l _Toc4350193377.5網(wǎng)絡(luò)防病毒方案 PAGEREF _Toc435019337 h 30HYPERLINK l _Toc4350193387.6防病毒系統(tǒng)部署 PAGEREF _Toc435019338 h 30HYPERLINK l _Toc4350193398入侵檢測(cè)/入侵防護(hù)IDS/IPS方案 PAGEREF _Toc435019339 h 34HYPERL

10、INK l _Toc4350193408.1網(wǎng)絡(luò)入侵檢測(cè)/入侵防護(hù)IDS/IPS PAGEREF _Toc435019340 h 34HYPERLINK l _Toc4350193418.2網(wǎng)絡(luò)入侵檢測(cè)/入侵保護(hù)技術(shù)說明 PAGEREF _Toc435019341 h 35HYPERLINK l _Toc435019342入侵檢測(cè)和入侵保護(hù)IDS/IPS產(chǎn)品的功能和特點(diǎn) PAGEREF _Toc435019342 h 35HYPERLINK l _Toc4350193438.3入侵檢測(cè)/入侵防護(hù)IDS/IPS在公司系統(tǒng)網(wǎng)絡(luò)中的部署 PAGEREF _Toc435019343 h 39HYPER

11、LINK l _Toc4350193449網(wǎng)客戶端管理系統(tǒng) PAGEREF _Toc435019344 h 41HYPERLINK l _Toc4350193459.1問題分析與解決思路 PAGEREF _Toc435019345 h 41HYPERLINK l _Toc4350193469.1.1 IP地址管理問題 PAGEREF _Toc435019346 h 41HYPERLINK l _Toc4350193479.1.2 用戶資產(chǎn)信息管理問題 PAGEREF _Toc435019347 h 42HYPERLINK l _Toc435019348軟硬件違規(guī)行為監(jiān)控 PAGEREF _To

12、c435019348 h 43HYPERLINK l _Toc435019349網(wǎng)絡(luò)拓?fù)洳榭磁c平安事件定位困難 PAGEREF _Toc435019349 h 43HYPERLINK l _Toc4350193509.1.5 缺乏完整的用戶授權(quán)認(rèn)證系統(tǒng) PAGEREF _Toc435019350 h 44HYPERLINK l _Toc4350193519.2系統(tǒng)主要功能模塊 PAGEREF _Toc435019351 h 44HYPERLINK l _Toc4350193529.3網(wǎng)管理解決方案 PAGEREF _Toc435019352 h 45HYPERLINK l _Toc435019

13、3539.4方案實(shí)現(xiàn)功能 PAGEREF _Toc435019353 h 45HYPERLINK l _Toc4350193549.4.1 IP地址管理 PAGEREF _Toc435019354 h 45HYPERLINK l _Toc435019355客戶端管理 PAGEREF _Toc435019355 h 45HYPERLINK l _Toc435019356系統(tǒng)管理 PAGEREF _Toc435019356 h 47HYPERLINK l _Toc43501935712平安產(chǎn)品部署總圖和平安產(chǎn)品清單表 PAGEREF _Toc435019357 h 491. 引言1.1信息平安體系

14、建立的必要性隨著電網(wǎng)的開展和技術(shù)進(jìn)步，電力信息化工作也有了突飛猛進(jìn)的開展，信息網(wǎng)絡(luò)規(guī)模越來越大，各種信息越來越廣泛。然而，隨之而來的信息平安問題也日益突出。電力工業(yè)作為我國國民經(jīng)濟(jì)的根底產(chǎn)業(yè)和公用事業(yè)，電力系統(tǒng)的平安運(yùn)行直接關(guān)系到國民經(jīng)濟(jì)的持速開展和滿足人民生活的需要，信息平安已成為電力企業(yè)在信息時(shí)代和知識(shí)經(jīng)濟(jì)新形勢(shì)下面臨的新課題，電力信息網(wǎng)絡(luò)與信息的平安一旦遭受破壞，造成的影響和損失將十分巨大。近年以來，在互聯(lián)網(wǎng)上先后出現(xiàn)的紅色代碼、尼姆達(dá)、蠕蟲、沖擊波等病毒造成了數(shù)以萬計(jì)的癱瘓，對(duì)電力信息系統(tǒng)的應(yīng)用造成了較大不良影響。公司按照建立一強(qiáng)三優(yōu)電網(wǎng)公司的開展戰(zhàn)略，為實(shí)現(xiàn)平安根底扎實(shí)、管理層次清晰

15、、部運(yùn)作規(guī)、企業(yè)文化鮮明、社會(huì)形象誠信的企業(yè)共同愿景，公司的信息化開展步伐不斷加快。計(jì)算機(jī)網(wǎng)絡(luò)已覆蓋全省各市、縣公司，實(shí)現(xiàn)了信息共享和快速傳遞。省、市公司的用戶數(shù)已達(dá)一萬多個(gè)，各類應(yīng)用200多個(gè)，省公司層面經(jīng)營管理類數(shù)據(jù)達(dá)2000G字節(jié)，網(wǎng)絡(luò)、信息系統(tǒng)已成為公司生產(chǎn)、經(jīng)營和管理的重要支撐平臺(tái)。企業(yè)的應(yīng)用要求網(wǎng)絡(luò)與信息系統(tǒng)具有高可靠性、高可用性、高平安性，但類似網(wǎng)絡(luò)病毒導(dǎo)致信息網(wǎng)絡(luò)局部癱瘓、外部攻擊致使應(yīng)用效勞中斷等事件時(shí)有發(fā)生，實(shí)際上還有其它一些未發(fā)現(xiàn)的或未產(chǎn)生后果的威脅，直接影響著省公司系統(tǒng)的信息平安，*電力系統(tǒng)信息平安體系建立已迫在眉睫。1.2解決信息平安問題的總體思路當(dāng)前我國已把信息平安

16、上升到國家戰(zhàn)略決策的高度。國家信息化領(lǐng)導(dǎo)小組第三次會(huì)議確定我國信息平安的指導(dǎo)思想：堅(jiān)持積極防御、綜合防的方針，在全面提高信息平安防護(hù)能力的同時(shí)，重點(diǎn)保障根底網(wǎng)絡(luò)和重要系統(tǒng)的平安。完善信息平安監(jiān)控體系，建立信息平安的有效機(jī)制和應(yīng)急處理機(jī)制。 這就引出等級(jí)保護(hù)的概念，必須區(qū)分重要程度不同的應(yīng)用系統(tǒng)，并據(jù)此將保護(hù)措施分成不同的等級(jí)，而從國家層面，必須將那些關(guān)系到國家經(jīng)濟(jì)開展命脈的根底網(wǎng)絡(luò)圈定出來，加以重點(diǎn)保護(hù)，這就是重點(diǎn)保障根底網(wǎng)絡(luò)和重要系統(tǒng)的平安思路。 這一思路蘊(yùn)涵了適度信息平安的概念。適度實(shí)際表達(dá)了建立信息平安的綜合本錢與信息平安風(fēng)險(xiǎn)之間的平衡，而不是要片面追求不切實(shí)際的平安。所謂信息平安，可以

17、理解為對(duì)信息四方面屬性的保障，一是性，就是能夠?qū)箤?duì)手的被動(dòng)攻擊，保證信息不泄露給未經(jīng)授權(quán)的人；二是完整性，就是能夠?qū)箤?duì)手的主動(dòng)攻擊，防止信息被未經(jīng)授權(quán)的篡改；三是可用性，就是保證信息及信息系統(tǒng)確實(shí)為授權(quán)使用者所用；四是可控性，就是對(duì)信息及信息系統(tǒng)實(shí)施平安監(jiān)控。按照ISO17799信息平安標(biāo)準(zhǔn)、國家計(jì)算機(jī)網(wǎng)絡(luò)平安規(guī)定及國網(wǎng)公司相關(guān)規(guī)定，信息平安體系的建立應(yīng)包括兩個(gè)方面的容：平安技術(shù)防護(hù)體系、平安管理體系。技術(shù)防護(hù)體系包括網(wǎng)絡(luò)和應(yīng)用系統(tǒng)的平安防護(hù)根底設(shè)施和相關(guān)的監(jiān)視、檢測(cè)手段；平安管理體系主要包括組織、評(píng)估、方法、改良等管理手段。信息平安體系建立的方法是：在全面的平安風(fēng)險(xiǎn)評(píng)估的根底上，對(duì)信息資

18、產(chǎn)進(jìn)展平安分類定級(jí)，針對(duì)信息系統(tǒng)存在的平安隱患和威脅，提出信息系統(tǒng)平安整體規(guī)劃，分步實(shí)施，循環(huán)改良。結(jié)合當(dāng)前我司信息系統(tǒng)的平安現(xiàn)狀和急待解決的問題，我們提出我司的信息平安體系建立的總體思路：針對(duì)企業(yè)信息化應(yīng)用的需求，建立電力信息系統(tǒng)平安保障的總體框架，確定電力信息系統(tǒng)平安策略，以指導(dǎo)電力信息系統(tǒng)平安技術(shù)體系與管理系統(tǒng)的建立。在逐步引入先進(jìn)實(shí)用的信息平安技術(shù)和手段的根底上，開展信息系統(tǒng)平安評(píng)估活動(dòng)，建立完善的平安技術(shù)體系。同時(shí)，逐步建立健全公司信息平安組織機(jī)構(gòu)，逐步落實(shí)各項(xiàng)信息平安管理制度，廣泛開展信息平安教育，提高系統(tǒng)全員信息平安意識(shí)，構(gòu)造規(guī)化的平安管理體制和機(jī)制，以期建立完善的信息平安管理體

19、系，并培養(yǎng)一支技術(shù)較強(qiáng)的人才隊(duì)伍。按照統(tǒng)一規(guī)劃、分步實(shí)施的原則，本方案為*電力公司信息網(wǎng)絡(luò)的平安防根底設(shè)施的初步設(shè)計(jì)。1.3*電力公司信息網(wǎng)平安防護(hù)策略1.3.1 *電力公司總體平安策略企業(yè)的信息平安策略是企業(yè)信息平安工作的依據(jù)，是企業(yè)所有平安行為的準(zhǔn)則。信息平安是圍繞平安策略的具體需求有序地組織在一起，構(gòu)架一個(gè)動(dòng)態(tài)的平安防體系。*電力的總體平安策略如下：建立信息平安組織機(jī)構(gòu)、健全各種規(guī)章制度，注重管理。信息平安風(fēng)險(xiǎn)防側(cè)重企業(yè)部，尤其是核心設(shè)備、核心網(wǎng)段的平安防。統(tǒng)一規(guī)劃、部署、實(shí)施企業(yè)互聯(lián)網(wǎng)對(duì)外的接口及平安防。合理劃分網(wǎng)絡(luò)邊界，做好邊界的平安防護(hù)；合理劃分平安域，實(shí)現(xiàn)不同等級(jí)平安域之間的隔離

20、。制定完善的備份策略，保障系統(tǒng)及數(shù)據(jù)的平安。充分利用現(xiàn)有的平安設(shè)施，發(fā)揮其平安功能。建立完善的監(jiān)控平臺(tái)和快速的響應(yīng)體系，及時(shí)的發(fā)現(xiàn)和解決出現(xiàn)的問題。采用數(shù)據(jù)平安技術(shù)保障實(shí)施，確保數(shù)據(jù)平安。1.3.2 *電力信息平安總體框架1.3.3 防護(hù)策略對(duì)網(wǎng)絡(luò)的防護(hù)策略包括主動(dòng)防護(hù)和被動(dòng)防護(hù)兩方面，主動(dòng)防護(hù)即采用入侵檢測(cè)工具，自動(dòng)對(duì)網(wǎng)絡(luò)上進(jìn)出的數(shù)據(jù)包進(jìn)展檢測(cè)，分辯出非法訪問并阻斷報(bào)警。被動(dòng)防護(hù)即采用防火墻設(shè)備，置于網(wǎng)絡(luò)出口處，并事先設(shè)定一定的規(guī)則，規(guī)定符合哪些條件的數(shù)據(jù)可以進(jìn)出，其它的則一律阻斷不讓其通過。從而主動(dòng)防護(hù)與被動(dòng)防護(hù)結(jié)合，到達(dá)對(duì)網(wǎng)絡(luò)的防護(hù)，也以此形成對(duì)小型機(jī)、效勞器、PC機(jī)等各類資源的根底性防

21、護(hù)。對(duì)主機(jī)的防護(hù)策略主機(jī)上運(yùn)行的是公司系統(tǒng)核心業(yè)務(wù)，存儲(chǔ)的是各類重要數(shù)據(jù)，一旦此類機(jī)器出現(xiàn)問題，將會(huì)給公司系統(tǒng)日常業(yè)務(wù)的正常開展造成沖擊和損失，所以必須對(duì)其采取進(jìn)一步的、更加嚴(yán)格的防護(hù)措施，具體在實(shí)踐中，就要對(duì)主機(jī)進(jìn)展漏洞掃描和加固處理，即不定期用掃描工具對(duì)關(guān)鍵主機(jī)進(jìn)展掃描，及時(shí)發(fā)現(xiàn)包括操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應(yīng)用系統(tǒng)在的各類漏洞缺陷，通過安裝補(bǔ)丁程序予以彌補(bǔ)，同時(shí)安裝防篡改、注冊(cè)表鎖定等加固軟件和身份認(rèn)證系統(tǒng)，從而使主機(jī)主動(dòng)拒絕非法訪問，自身具備較強(qiáng)的平安防護(hù)能力，抗御各類攻擊行為。對(duì)系統(tǒng)的防護(hù)策略經(jīng)過多年的建立和推廣應(yīng)用，省電力公司已把基于Lotus Notes的辦公自動(dòng)化系統(tǒng)全面推廣到省、

22、市、縣各級(jí)供電企業(yè)，實(shí)現(xiàn)了公文在網(wǎng)上辦理和傳遞。公司系統(tǒng)的員工都開設(shè)了個(gè)人。所有公文流轉(zhuǎn)信息都會(huì)發(fā)送到員工的個(gè)人。同時(shí)這些又都具備發(fā)送和承受外網(wǎng)的能力。近年來，由于病毒的泛濫和快速傳播，省公司的系統(tǒng)每天不可防止地收到大量的垃圾和攜帶病毒的，中的病毒又在局域網(wǎng)上快速傳播，嚴(yán)重地威脅網(wǎng)絡(luò)和信息平安。為保障網(wǎng)絡(luò)和信息系統(tǒng)平安運(yùn)行，需要部署專用的反垃圾系統(tǒng)和病毒過濾系統(tǒng)保護(hù)省公司系統(tǒng)的平安運(yùn)行。 對(duì)終端的防護(hù)策略終端的平安防護(hù)是網(wǎng)絡(luò)與信息平安防護(hù)的重要容，其主要防護(hù)措施是：安裝防病毒軟件并及時(shí)更新。加強(qiáng)管理，杜絕與業(yè)務(wù)無關(guān)軟件的安裝使用，控制使用軟盤、光盤驅(qū)動(dòng)器。終端行為管理： 網(wǎng)絡(luò)平安問題在很多情況

23、下都是由部人士而非外來黑客所引起，在公司系統(tǒng)普遍存在著如下的問題：缺乏完整的部平安防護(hù)體系；網(wǎng)絡(luò)平安管理的根底工作較薄弱，各類網(wǎng)絡(luò)根底信息采集不全；存在一機(jī)多網(wǎng)和一機(jī)多用的可能性；外圍設(shè)備的接入控制困難；難以監(jiān)控用戶對(duì)計(jì)算機(jī)的使用情況。因此迫切地需要一種高效完整的網(wǎng)絡(luò)管理機(jī)制來監(jiān)測(cè)、控制整個(gè)網(wǎng)的資源和效勞，使整個(gè)網(wǎng)絡(luò)運(yùn)行穩(wěn)定可靠，從而保證整個(gè)網(wǎng)的可信任和可控制。軟件更新效勞系統(tǒng)SUS：目前大局部病毒，像尼姆達(dá)一種利用系統(tǒng)漏洞的蠕蟲病毒是利用微軟的系統(tǒng)漏洞進(jìn)展傳播的，而微軟對(duì)大局部的漏洞及時(shí)提供了相應(yīng)的補(bǔ)丁程序，但由于用戶未及時(shí)打補(bǔ)丁更新系統(tǒng)而導(dǎo)致數(shù)以萬計(jì)的 Windows 系統(tǒng)受到攻擊。因此需

24、要一套軟件更新效勞系統(tǒng)SUS來為主機(jī)提供補(bǔ)定程序，并及時(shí)自動(dòng)更新系統(tǒng)。2. 設(shè)計(jì)依據(jù)2.1 信息平安管理及建立的國際標(biāo)準(zhǔn)ISO-17799ISO17799 管理體系將IT策略和企業(yè)開展方向統(tǒng)一起來，確保IT資源用得其所，使與IT相關(guān)的風(fēng)險(xiǎn)受到適當(dāng)?shù)目刂?。該?biāo)準(zhǔn)通過保證信息的性，完整性和可用性來管理和保護(hù)組織的所有信息資產(chǎn)，通過方針、慣例、程序、組織構(gòu)造和軟件功能來確定控制方式并實(shí)施控制，組織按照這套標(biāo)準(zhǔn)管理信息平安風(fēng)險(xiǎn)，可持續(xù)提高管理的有效性和不斷提高自身的信息平安管理水平，降低信息平安對(duì)持續(xù)開展造成的風(fēng)險(xiǎn)，最終保障組織的特定平安目標(biāo)得以實(shí)現(xiàn)，進(jìn)而利用信息技術(shù)為組織創(chuàng)造新的戰(zhàn)略競(jìng)爭(zhēng)機(jī)遇。3.

25、*電力信息網(wǎng)平安現(xiàn)狀3.1管理平安現(xiàn)狀參考相關(guān)信息平安相關(guān)標(biāo)準(zhǔn)中的平安管理策略要求，根據(jù)*電力網(wǎng)信息系統(tǒng)平安運(yùn)維的需求，對(duì)*電力網(wǎng)信息系統(tǒng)平安組織、人員管理、平安管理、運(yùn)維管理、監(jiān)測(cè)管理、備份管理、應(yīng)急管理、文檔管理方面進(jìn)展了調(diào)查分析，對(duì)*電力網(wǎng)信息系統(tǒng)平安管理現(xiàn)狀描述如下：平安組織方面：已有信息平安管理組織，有專職信息平安人員。信息平安專職人員負(fù)責(zé)組織部與各相關(guān)單位的信息平安協(xié)調(diào)溝通工作。 人員管理方面：*電力網(wǎng)信息系統(tǒng)已有明確的崗位責(zé)任制，技術(shù)人員在信息系統(tǒng)建立和日常維護(hù)過程中認(rèn)真履行職責(zé)。已有執(zhí)行外來人員管理策略，外來公司人員進(jìn)入機(jī)房實(shí)施操作時(shí)，有*電力網(wǎng)信息系統(tǒng)工作人員全程陪同。平安管

26、理方面：有明確的平安管理要求與措施。沒有及時(shí)安裝相應(yīng)系統(tǒng)補(bǔ)丁，制止安裝與工作無關(guān)的軟件；缺乏完備信息平安事件報(bào)告制度。運(yùn)維管理方面：有具體明確的系統(tǒng)運(yùn)行要求，日常故障維護(hù)，對(duì)故障現(xiàn)象、發(fā)現(xiàn)時(shí)間、檢查容、處理方法、處理人員、恢復(fù)時(shí)間等進(jìn)展詳細(xì)記錄。監(jiān)測(cè)管理方面：有明確的監(jiān)測(cè)目標(biāo)，在網(wǎng)絡(luò)檢測(cè)方面，利用入侵檢測(cè)來實(shí)時(shí)監(jiān)測(cè)，但沒有定時(shí)查看相關(guān)記錄和維護(hù)，并做出響應(yīng)；在防病毒方面，利用防病毒系統(tǒng)來實(shí)時(shí)對(duì)病毒進(jìn)展檢測(cè)和防護(hù)。應(yīng)急管理方面：有明確的應(yīng)急管理策略，實(shí)施工作主要有運(yùn)維人員及效勞提供商承當(dāng)。密碼管理方面：有明確的密碼管理實(shí)施方法，但缺乏定期修改密碼及密碼保存方法。備份管理方面：有明確的備份管理策略

27、，也制定了相關(guān)的備份方法。文檔管理方面：有明確的技術(shù)文檔管理制度，但技術(shù)文檔資料缺乏登記、分類、由專人保管，同時(shí)也缺乏技術(shù)文檔資料的使用、外借或銷毀的審批登記手續(xù)。3.2 網(wǎng)絡(luò)平安現(xiàn)狀*電力的網(wǎng)絡(luò)拓?fù)洮F(xiàn)在如下列圖所示：當(dāng)前網(wǎng)絡(luò)骨干區(qū)域，根本形成以一臺(tái)H3C S7506為核心，多臺(tái)H3C S7503為會(huì)聚接入的架構(gòu)。但核心交換機(jī)H3C S7506同時(shí)兼具遠(yuǎn)程接入?yún)^(qū)多條專線接入設(shè)備的任務(wù)，中間沒有會(huì)聚設(shè)備，網(wǎng)絡(luò)邏輯層次構(gòu)造較為模糊。不利于網(wǎng)絡(luò)的擴(kuò)展建立，更不利于平安域邊界的整合，無法實(shí)施集中統(tǒng)一的平安防護(hù)策略。除互聯(lián)網(wǎng)接入?yún)^(qū)外，當(dāng)前網(wǎng)絡(luò)各區(qū)域均為單鏈路、單設(shè)備。網(wǎng)絡(luò)單點(diǎn)故障隱患很大。任意節(jié)點(diǎn)設(shè)備、

28、鏈路的故障，或因維護(hù)的需要停機(jī)重啟，均會(huì)造成相應(yīng)區(qū)域網(wǎng)絡(luò)的通訊中斷，造成重要影響。當(dāng)前網(wǎng)絡(luò)中，在效勞器區(qū)局部、管理支撐區(qū)、遠(yuǎn)程接入?yún)^(qū)，煙廠生產(chǎn)網(wǎng)辦公網(wǎng)局部均存在區(qū)域劃分不清晰，邊界模糊的情況。平安域劃分不清晰，區(qū)域邊界未整合，不利于日常的平安管理，無法實(shí)施集中統(tǒng)一的平安區(qū)域防護(hù)策略。效勞器區(qū)域 H3C設(shè)備 FWSM防火墻處于策略全通狀態(tài)，無法起到應(yīng)有的訪問控制成效，讓所有效勞器直接暴露在辦公網(wǎng)中。局部遠(yuǎn)程接入?yún)^(qū)域鏈路、IT運(yùn)營中心等，同樣存在缺乏防火墻等設(shè)備，無法實(shí)施根本的網(wǎng)絡(luò)訪問控制，無法有效防護(hù)重要資產(chǎn)設(shè)備。當(dāng)前網(wǎng)絡(luò)中缺乏必要的入侵檢測(cè)/防御手段，特別在核心交換機(jī)、網(wǎng)效勞器區(qū)、DMZ效勞器

29、區(qū)。無法實(shí)施網(wǎng)絡(luò)流量的實(shí)時(shí)監(jiān)控分析，進(jìn)展惡意行為的告警響應(yīng)，無法及時(shí)發(fā)現(xiàn)并處理平安事件。全網(wǎng)缺乏一套集中的平安運(yùn)營管理中心，無法集中監(jiān)控各網(wǎng)絡(luò)設(shè)備、平安設(shè)備、主機(jī)及業(yè)務(wù)的平安運(yùn)行情況，收集日志信息，集中存儲(chǔ)、關(guān)聯(lián)分析和展現(xiàn)。同時(shí)，無法及時(shí)掌握全網(wǎng)的平安態(tài)勢(shì)，及時(shí)做出分析判斷，影響平安事件的響應(yīng)處理效率。網(wǎng)效勞器區(qū)、DMZ效勞器區(qū)缺乏業(yè)務(wù)審計(jì)設(shè)備，無法記錄關(guān)鍵的業(yè)務(wù)、維護(hù)操作行為。出現(xiàn)平安事件時(shí)，無法通過審計(jì)設(shè)備進(jìn)展操作行為的跟蹤分析，及時(shí)查找原因。當(dāng)前網(wǎng)絡(luò)設(shè)備平安相關(guān)策略大多采用默認(rèn)配置，自身存在較多平安隱患，在一些惡意的人為因數(shù)下，可能造成網(wǎng)絡(luò)設(shè)備運(yùn)行不正常，甚至網(wǎng)絡(luò)局部區(qū)域通訊中斷。3.3

30、主機(jī)及業(yè)務(wù)系統(tǒng)平安現(xiàn)狀當(dāng)前系統(tǒng)中的主機(jī)及應(yīng)用系統(tǒng)欠缺較多的補(bǔ)丁，存在較多的高風(fēng)險(xiǎn)漏洞。攻擊者可以通過一些簡(jiǎn)易工具或技術(shù)手段，入侵主機(jī)，提升權(quán)限，進(jìn)展后續(xù)的破壞活動(dòng)。*電力局部業(yè)務(wù)系統(tǒng)主機(jī)和數(shù)據(jù)庫存在弱口令現(xiàn)象，包括用戶名和口令一致、空口令、通用默認(rèn)口令、極易猜想的簡(jiǎn)單數(shù)字等。弱口令可以使惡意用戶直接或者通過簡(jiǎn)單掃描工具，即可獲取用戶和密碼，可以直接訪問系統(tǒng)，甚至獲取系統(tǒng)管理員和密碼，完全控制該系統(tǒng)。如果系統(tǒng)被攻擊，對(duì)*電力業(yè)務(wù)的正常運(yùn)行造成很大的影響?？诹罟芾矸矫?，當(dāng)前所有UNI*類主機(jī)采用默認(rèn)配置，沒有啟用相關(guān)平安屬性控制，沒有對(duì)口令的復(fù)雜度、有效期、更新密碼周期等進(jìn)展統(tǒng)一約束。口令平安策略

31、設(shè)置不嚴(yán)格，用戶口令容易遭到猜想或字典攻擊成功，進(jìn)而使系統(tǒng)容易被非法操縱。用戶登錄管理方面，當(dāng)前所有UNI*類主機(jī)采用默認(rèn)配置，未啟用root直接登陸控制、終端登陸控制、登陸會(huì)話時(shí)間限制、SU權(quán)限控制等登錄平安管理策略。用戶登陸平安策略設(shè)置不嚴(yán)格，容易造成惡意用戶越權(quán)濫用，非法操作，root特權(quán)使用缺乏監(jiān)控審計(jì)，給系統(tǒng)造成影響破壞。當(dāng)前絕大局部主機(jī)采用默認(rèn)配置，開放有SNMP效勞，并且沒有修改缺省的SNMP共同體字符串。而已攻擊者通過SNMP可以獲取遠(yuǎn)程操作系統(tǒng)的類型和版本、進(jìn)程信息、網(wǎng)絡(luò)接口信息等敏感信息。這可能使攻擊者可以準(zhǔn)確了解遠(yuǎn)程主機(jī)的系統(tǒng)信息，更有針對(duì)性的發(fā)起攻擊。當(dāng)前大局部主機(jī)，包

32、括局部對(duì)公網(wǎng)提供效勞的主機(jī)的OpenSSH版本較老，暴露有較多緩沖區(qū)溢出漏洞。惡意攻擊者通過上述漏洞，可以發(fā)起拒絕效勞攻擊或執(zhí)行任意代碼，控制主機(jī)，給業(yè)務(wù)系統(tǒng)造成嚴(yán)重影響。當(dāng)前多數(shù)主機(jī)系統(tǒng)中開放有危險(xiǎn)的R系列效勞，建立有較多主機(jī)間的信任關(guān)系。用戶可使用rlogin直接登錄而不需密碼，還可使用rcp、rcmd等命令，方便用戶操作。R系列效勞有一定的平安性風(fēng)險(xiǎn)，在當(dāng)前環(huán)境中，容易被仿冒，無需口令即可直接訪問授信主機(jī)，造成系統(tǒng)越權(quán)訪問。當(dāng)前絕大多數(shù)主機(jī)采用默認(rèn)配置，開放有危險(xiǎn)且不必須的TCP Small Service和UDP Small Service。包括echo、diacard、chargen

33、、talk等。每一種網(wǎng)絡(luò)效勞都是一個(gè)潛在的平安漏洞，也就是一個(gè)攻擊者可能會(huì)進(jìn)入的地方。開放TCP/UDP小效勞可能拒絕效勞攻擊、系統(tǒng)入侵等危害。當(dāng)前絕大多數(shù)主機(jī)采用默認(rèn)配置，開放有危險(xiǎn)的RPC效勞，包括rstatd、rusersd、rwalld等。RPC系列效勞可能造成系統(tǒng)信息泄露，為惡意攻擊者的進(jìn)一步行動(dòng)提供有用信息。當(dāng)前大多數(shù)主機(jī)開放有Sendmail效勞，Sendmail效勞自身存在較多風(fēng)險(xiǎn)漏洞。非效勞器無需運(yùn)行Sendmail效勞。惡意攻擊者利用Sendmail效勞漏洞容易獲取系統(tǒng)權(quán)限，或用來發(fā)送垃圾。前局部提供Web訪問的系統(tǒng)包括外網(wǎng)等采用的Apache效勞器版本較低，存在多處緩沖區(qū)

34、溢出漏洞。惡意攻擊者可以利用這個(gè)漏洞進(jìn)展緩沖區(qū)溢出攻擊，可能以Apache進(jìn)程權(quán)限在系統(tǒng)上執(zhí)行任意指令或進(jìn)展拒絕效勞攻擊。當(dāng)前大局部主機(jī)和應(yīng)用系統(tǒng)采用默認(rèn)的Syslog日志配置。未配置集中的外部日志效勞器系統(tǒng)，進(jìn)展統(tǒng)一的收集、存儲(chǔ)和分析。不能及時(shí)有效地發(fā)現(xiàn)業(yè)務(wù)中的問題以及平安事件，不利于平安事件的跟蹤分析。滲透測(cè)試檢查發(fā)現(xiàn)，*電力外網(wǎng)存在兩處高風(fēng)險(xiǎn)的SQL注入漏洞。利用SQL注入點(diǎn)1，可進(jìn)展數(shù)據(jù)庫信息猜想、數(shù)據(jù)表猜想、表空間猜想，進(jìn)而獲取整個(gè)數(shù)據(jù)庫的信息，任意查看和修改。利用注入點(diǎn)2可以獲得任意注冊(cè)會(huì)員的和密碼信息，以及會(huì)員的地址、真實(shí)名字等敏感信息。同時(shí)還檢查出，外網(wǎng)存在可上傳任意文件、跨站

35、腳本攻擊兩處高、中風(fēng)險(xiǎn)漏洞。外網(wǎng)作為*電力的對(duì)外門戶系統(tǒng)，是對(duì)外宣傳、信息發(fā)布的重要途徑，日均訪問量很大。惡意入侵者利用上述漏洞，極易造成系統(tǒng)重要數(shù)據(jù)信息泄密，頁面破壞、篡改、掛馬等危害，嚴(yán)重影響用戶的正常訪問，造成用戶感染病毒木馬。滲透測(cè)試檢查發(fā)現(xiàn)，網(wǎng)存在兩處高風(fēng)險(xiǎn)漏洞，可以獲取所有用戶的口令和其它敏感信息。同時(shí)還存在暴露系統(tǒng)絕對(duì)路徑、可以查看任意短消息列表容。網(wǎng)是公司部信息發(fā)布的主要途徑，采用系統(tǒng)的口令進(jìn)展認(rèn)證，通過上述漏洞，惡意攻擊者可以獲取所有用戶的口令，登錄網(wǎng)、登錄系統(tǒng)，造成信息泄密、篡改、破壞等危害。3.4 終端平安現(xiàn)狀目前*電力平安方針策略不夠清晰明確。由于平安目標(biāo)方針不明確，導(dǎo)

36、致全員不能清晰領(lǐng)悟平安的重要性，平安思想不能得到有效貫徹落實(shí)。各部門執(zhí)行平安的方向不統(tǒng)一。平安方針不統(tǒng)一，會(huì)經(jīng)常出現(xiàn)平安行動(dòng)不統(tǒng)一，平安意識(shí)不明確的現(xiàn)象。*電力沒有建立完善的平安管理策略制度。制度不完善導(dǎo)致執(zhí)行平安工作時(shí)不能遵循統(tǒng)一的策略，導(dǎo)致因誤操作或因不規(guī)導(dǎo)致的問題發(fā)生?？赡軙?huì)出現(xiàn)由于制度流程不完善導(dǎo)致的信息泄密、網(wǎng)絡(luò)系統(tǒng)癱瘓等管理制度不全面，未能覆蓋包括第三方人員管理、桌面系統(tǒng)管理、系統(tǒng)開發(fā)等方面，導(dǎo)致相關(guān)操作無規(guī)。當(dāng)前*電力成立了信息平安工作領(lǐng)導(dǎo)小組，但小組成員根本以各級(jí)領(lǐng)導(dǎo)為主，專業(yè)平安人員只有一人，不能滿足日常平安管理工作需要。并且系統(tǒng)維護(hù)人員同時(shí)負(fù)責(zé)此系統(tǒng)的平安運(yùn)行，目前的編制已

37、經(jīng)很難滿足日常平安管理的需要，因此信息平安的具體執(zhí)行工作難以得到有效的開展。平安崗位職責(zé)未設(shè)置AB角色，一人負(fù)責(zé)，一旦發(fā)生人員調(diào)離或其它意外導(dǎo)致系統(tǒng)全面癱瘓。沒有建立完善信息平安考核體系，導(dǎo)致員工不能嚴(yán)格執(zhí)行各項(xiàng)信息平安規(guī)章制度。各級(jí)員工普遍信息平安意識(shí)不強(qiáng)，導(dǎo)致員工對(duì)信息平安的容、管理目標(biāo)等沒有明確的認(rèn)識(shí)與理解，不能在日常工作中主動(dòng)地貫徹各項(xiàng)信息平安制度、規(guī)及標(biāo)準(zhǔn)。*電力尚未實(shí)施針對(duì)非專業(yè)平安人員的平安培訓(xùn)方案平安培訓(xùn)跟不上導(dǎo)致專業(yè)人員和普通員工平安技術(shù)缺乏，平安意識(shí)薄弱。當(dāng)前情況下，備份介質(zhì)大多存放在機(jī)房或辦公區(qū)域中。同時(shí)沒有針對(duì)可移動(dòng)介質(zhì)的管理制度。沒有介質(zhì)銷毀制度。重要軟件或其它資產(chǎn)如

38、密碼本存放在機(jī)房，可能會(huì)導(dǎo)致容易使部較易獲取或破壞資產(chǎn)；重要資產(chǎn)存放在辦公區(qū)域，很容易被外來人員進(jìn)展有意或無意的攻擊。目前按部門的劃分來保護(hù)資產(chǎn)，將資產(chǎn)進(jìn)展了一些簡(jiǎn)單分類。軟件資產(chǎn)無詳細(xì)登記，也未將資產(chǎn)劃分平安等級(jí)。不能對(duì)重點(diǎn)資產(chǎn)進(jìn)展重點(diǎn)保護(hù)。尚未制定相應(yīng)的訪問權(quán)限與控制的流程與職責(zé)，總部和各分廠在處理第三方訪問權(quán)限時(shí)沒有統(tǒng)一的標(biāo)準(zhǔn)與規(guī)；對(duì)第三方的監(jiān)控缺少標(biāo)準(zhǔn)與技術(shù)手段，各單位根本沒有在第三方訪問時(shí)實(shí)施有效的監(jiān)控；在第三方合作完成后，不能及時(shí)的注銷訪問權(quán)限、修改口令，存在第三方繼續(xù)訪問獲得信息或者進(jìn)展非法操作的風(fēng)險(xiǎn)。當(dāng)前*電力缺乏系統(tǒng)規(guī)的應(yīng)急響應(yīng)預(yù)案。缺乏相應(yīng)的制度流程，導(dǎo)致系統(tǒng)遭受篡改或無法

39、使用時(shí)，對(duì)公司的管理運(yùn)營具有輕微影響。缺乏系規(guī)的桌面系統(tǒng)平安管理規(guī)，終端人員操作水平不一致，平安意識(shí)缺乏可能會(huì)導(dǎo)致桌面系統(tǒng)的病毒蠕蟲事件，以至于網(wǎng)絡(luò)癱患；移動(dòng)硬盤的無規(guī)使用，不僅會(huì)導(dǎo)致病毒泛濫，而且容易將信息泄露或數(shù)據(jù)破壞及喪失。建立過程中沒有同步考慮系統(tǒng)功能和平安性。立項(xiàng)管理階段：工程前期過程中對(duì)平安的考慮不夠完整，主要包括信息平安目標(biāo)定義不明確，初步平安控制方案存在控制缺乏的情況，工程預(yù)算調(diào)減時(shí)導(dǎo)致平安控制被消減；實(shí)施管理階段：缺少統(tǒng)一的平安需求分析方法、根本保護(hù)要求以及平安驗(yàn)收測(cè)試，導(dǎo)致在建系統(tǒng)的平安控制方案不能有效地實(shí)現(xiàn)平安目標(biāo)，開發(fā)過程中對(duì)開發(fā)人員控制不夠，使得工程過程文檔和部敏感信

40、息外流；驗(yàn)收管理階段：缺乏系統(tǒng)運(yùn)維方案，包括備份恢復(fù)方案、應(yīng)急預(yù)案，有的系統(tǒng)是上線運(yùn)行后。4建立目標(biāo)本期信息網(wǎng)平安建立到達(dá)以下目標(biāo)：通過防火墻和入侵檢測(cè)/防護(hù)系統(tǒng)的部署，構(gòu)建網(wǎng)絡(luò)邊界防護(hù)，將部網(wǎng)絡(luò)與其他網(wǎng)絡(luò)進(jìn)展隔離，防止與外部網(wǎng)絡(luò)的直接通訊，保證網(wǎng)絡(luò)構(gòu)造信息不外泄；對(duì)各條鏈路上的效勞請(qǐng)求做必要的限制，使非法訪問不能到達(dá)主機(jī)；通過防病毒系統(tǒng)的部署，建立完整的系統(tǒng)防病毒體系，防止病毒的侵害；通過客戶端管理系統(tǒng)的部署，建立客戶端資源、行為的必要控制，以及補(bǔ)丁及時(shí)分發(fā)，減少網(wǎng)用戶的不平安因素； 通過省公司本部平安監(jiān)管平臺(tái)的部署，初步實(shí)現(xiàn)平安事件集中監(jiān)視和分析，為下一步建立全省信息平安體系打下根底。5平

41、安區(qū)域的劃分方案5.1網(wǎng)絡(luò)平安域劃分原則平安域是指網(wǎng)絡(luò)系統(tǒng)包含一樣的平安要求，到達(dá)一樣的平安防護(hù)等級(jí)的區(qū)域。網(wǎng)絡(luò)平安域設(shè)計(jì)遵循以下原則：部網(wǎng)絡(luò)構(gòu)造層次清楚，便于網(wǎng)絡(luò)隔離和平安規(guī)劃。網(wǎng)絡(luò)構(gòu)造具備高可靠性和高可用性。不同的網(wǎng)段在交換機(jī)上劃分不同虛擬局域網(wǎng)VLAN，不同虛擬局域網(wǎng)VLAN之間的路由設(shè)置訪問控制表ACL。地址規(guī)劃應(yīng)便于路由匯總以方便路由管理、提高路由播送效率以及簡(jiǎn)化ACL配置。邊界和部的動(dòng)態(tài)路由協(xié)議應(yīng)盡量啟用認(rèn)證，用來防止路由欺騙，否則高明的黑客可以通過發(fā)送惡意的路由更新播送包，使得路由器更新路由表，造成網(wǎng)絡(luò)癱瘓和路由旁路。所有對(duì)網(wǎng)絡(luò)設(shè)備的維護(hù)管理啟用更可靠的認(rèn)證。交換機(jī)的第三層模塊L

42、3模塊或防火墻配置訪問控制表ACL。路由器設(shè)置反地址欺騙檢查。對(duì)于路由器，外出Outbound接收包的源地址只可能是外部地址，不可能是部地址，同樣進(jìn)入Inbound接收包的源地址只可能是部地址，不可能是外部地址，這樣能防止黑客利用策略允許的部或外部地址進(jìn)入網(wǎng)絡(luò)。啟用路由反向解析驗(yàn)證，這在*種程度上犧牲了一定的網(wǎng)絡(luò)性能，但能有效阻止隨機(jī)源地址類型的攻擊，如同步攻擊等SyncFlood。路由器過濾所有來自外部網(wǎng)絡(luò)的源地址為保存地址的數(shù)據(jù)包。所有提供簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議SNMP效勞的設(shè)備路由器、交換機(jī)、計(jì)算機(jī)設(shè)備等的共用組名munity Name不能使用缺省，要足夠復(fù)雜，并且統(tǒng)一管理。全省按如下網(wǎng)絡(luò)平安

43、域進(jìn)展劃分：整個(gè)省公司劃分為四個(gè)大的平安域：部辦公區(qū)，DMZ對(duì)外業(yè)務(wù)區(qū)，電力信息網(wǎng)區(qū)對(duì)業(yè)務(wù)區(qū)，假設(shè)干外聯(lián)網(wǎng)區(qū)域Internet，第三方接入等；各平安域之間通過防火墻進(jìn)展隔離，在防火墻上按照網(wǎng)絡(luò)應(yīng)用的需求進(jìn)展訪問策略的設(shè)置；外網(wǎng)效勞器區(qū)DMZ的、應(yīng)用Web，Mail，Application效勞器通過網(wǎng)絡(luò)地址轉(zhuǎn)換NAT等，對(duì)Internet提供效勞；電力信息網(wǎng)區(qū)的效勞器通過防火墻與部辦公區(qū)，DMZ區(qū)進(jìn)展通信，對(duì)提供系統(tǒng)應(yīng)用；部辦公區(qū)視需求進(jìn)展虛擬局域網(wǎng)VLAN的進(jìn)一步劃分，由交換機(jī)的第三層模塊L3模塊進(jìn)展虛擬局域網(wǎng)VLAN劃分和訪問控制表ACL控制或通過防火墻模塊進(jìn)展各虛擬局域網(wǎng)VLAN之間的平安

44、控制。 5.2網(wǎng)絡(luò)區(qū)域邊界訪問控制需求根據(jù)目前公司系統(tǒng)的實(shí)際網(wǎng)絡(luò)狀況，在公司系統(tǒng)網(wǎng)絡(luò)環(huán)境中，區(qū)域邊界主要有以下幾個(gè)：互聯(lián)網(wǎng)與電力信息網(wǎng)的連接邊界，電力信息網(wǎng)各本地局域網(wǎng)與廣域網(wǎng)的連接邊界，電力信息網(wǎng)與華東電網(wǎng)的連接邊界，電力信息網(wǎng)與國家電網(wǎng)的連接邊界，各地市公司與縣公司的連接邊界，各地市公司與銀行的連接邊界。根據(jù)網(wǎng)絡(luò)平安建立的原則，平安等級(jí)低的系統(tǒng)應(yīng)該與平安級(jí)別高的系統(tǒng)進(jìn)展有效隔離，防止將兩者混雜，從而直接降低了高平安級(jí)別系統(tǒng)的平安性。平安僅僅依靠操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)權(quán)限控制功能。這是遠(yuǎn)遠(yuǎn)不夠的，任何一個(gè)位于該網(wǎng)絡(luò)中的客戶終端，都可能是一個(gè)潛在的對(duì)關(guān)鍵效勞器的威脅點(diǎn)。因此，首先必須將所有這

45、些效勞器按重要等級(jí)和國家經(jīng)貿(mào)委劃定的平安區(qū)域進(jìn)展分級(jí)，其次在科學(xué)合理分級(jí)的根底上，采用有效的網(wǎng)絡(luò)隔離措施，隔離這些不同平安等級(jí)的效勞器，并進(jìn)展有效的訪問控制。網(wǎng)絡(luò)隔離的目的最主要的就是要完成網(wǎng)絡(luò)層訪問控制的功能。經(jīng)常存在的網(wǎng)絡(luò)濫用現(xiàn)象本身就是因?yàn)槿狈τ行У脑L問控制手段所導(dǎo)致的。從平安的角度來說，應(yīng)該遵循最小授權(quán)原則: 一個(gè)實(shí)體應(yīng)該而且只應(yīng)該被賦予它完成正常功能所需的最小權(quán)限。而在我們的實(shí)際網(wǎng)絡(luò)運(yùn)營中，往往忽略了這一原則，任何一個(gè)在網(wǎng)絡(luò)上活動(dòng)的普通用戶，經(jīng)常會(huì)擁有過多的訪問權(quán)限。一個(gè)用戶本來僅僅只需要訪問效勞器的WEB效勞，但是由于缺乏有效的網(wǎng)絡(luò)層隔離與訪問控制機(jī)制，這個(gè)用戶其實(shí)擁有對(duì)該效勞器一

46、切網(wǎng)絡(luò)效勞訪問的權(quán)限。這種違反最小授權(quán)的情況事實(shí)上經(jīng)常被人忽略，從而導(dǎo)致了在特定的情況下平安事件的產(chǎn)生，造成了嚴(yán)重的后果。常見的網(wǎng)絡(luò)層訪問控制主要是基于IP和端口來進(jìn)展。對(duì)公司系統(tǒng)來說僅僅基于這樣的網(wǎng)絡(luò)層訪問控制是不夠的。因?yàn)橥蛻舳说腎P地址是采用動(dòng)態(tài)分配，很難將*個(gè)IP地址與特定用戶綁定起來。因此需要通過MAC地址對(duì)用戶網(wǎng)絡(luò)層的訪問進(jìn)展控制。訪問控制在多個(gè)網(wǎng)絡(luò)協(xié)議層面都是一個(gè)必要的平安機(jī)制。對(duì)重要應(yīng)用系統(tǒng)來說，其訪問控制要求更為細(xì)致，但網(wǎng)絡(luò)層的訪問控制是根底，如果在網(wǎng)絡(luò)通訊層面以及操作系統(tǒng)層面都不能保證嚴(yán)格有力的訪問控制，應(yīng)用層面的控制是沒有意義的。所以，首先必須實(shí)施全面的區(qū)域邊界網(wǎng)絡(luò)隔

47、離與訪問控制技術(shù)。5.3邊界網(wǎng)絡(luò)隔離和訪問控制為了有效保證同一網(wǎng)絡(luò)區(qū)域?qū)嵭幸粯拥钠桨膊呗?，防止違背平安策略的跨區(qū)域訪問如嚴(yán)格制止從Internet對(duì)*電力專網(wǎng)的直接訪問，方案采用如下措施進(jìn)展區(qū)域邊界防護(hù)。5.3.1區(qū)域邊界的訪問控制防火墻技術(shù)是目前最成熟，應(yīng)用最普遍的區(qū)域邊界訪問控制技術(shù)。它通過設(shè)置在不同網(wǎng)絡(luò)區(qū)域如可信任的企業(yè)部網(wǎng)和不可信的公共網(wǎng)或網(wǎng)絡(luò)平安域之間來實(shí)施平安策略。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)平安域之間信息的唯一出入口，能根據(jù)平安政策控制允許、拒絕、監(jiān)測(cè)出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息平安效勞，實(shí)現(xiàn)網(wǎng)絡(luò)和信息平安的根底設(shè)施。區(qū)域邊界的防火墻控制技術(shù)在上述所有邊界均加

48、以實(shí)施。5.3.2敏感區(qū)域邊界的流量審計(jì)此處的敏感區(qū)域邊界，主要指平安性相對(duì)較高和平安性相對(duì)較低網(wǎng)絡(luò)之間的連接區(qū)域邊界，具體到省公司信息系統(tǒng)而言即為Internet與信息網(wǎng)系統(tǒng)的連接邊界，信息網(wǎng)系統(tǒng)與國網(wǎng)公司、華東電網(wǎng)、縣公司及銀行的網(wǎng)絡(luò)連接邊界。對(duì)于這些邊界的控制，僅僅使用防火墻策略是不夠的。由于敏感區(qū)域邊界間平安性差異較大，極易出現(xiàn)平安問題，所以應(yīng)對(duì)跨區(qū)域的流量進(jìn)展完全審計(jì)，便于日后的審查需要。5.3.3敏感區(qū)域邊界的網(wǎng)絡(luò)防入侵及防病毒除了在敏感區(qū)域邊界間實(shí)施流量審計(jì)這種被動(dòng)審計(jì)技術(shù)外，還應(yīng)建立主動(dòng)入侵防御機(jī)制，動(dòng)態(tài)響應(yīng)跨區(qū)域的入侵，這種動(dòng)態(tài)響應(yīng)技術(shù)即為入侵檢測(cè)和病毒防護(hù)技術(shù)。因?yàn)?，從平?/p>

49、角度來說，當(dāng)前新興的病毒威脅已具有相關(guān)黑客入侵特征，二者的結(jié)合防護(hù)不可或缺。上述三種技術(shù)在進(jìn)展區(qū)域邊界防護(hù)時(shí)可互為補(bǔ)充，相輔相成。從工程角度來說，最好能將三種技術(shù)集成在一個(gè)產(chǎn)品里，以提供平安功能的集合，一方面便于實(shí)施，另一方面便于后期維護(hù)和管理。6*電力信息網(wǎng)防火墻部署方案在Internet與互聯(lián)網(wǎng)容發(fā)布平臺(tái)之間和互聯(lián)網(wǎng)容發(fā)布平臺(tái)與電力信息網(wǎng)之間部署具有防火墻、平安審計(jì)、入侵防護(hù)和病毒防護(hù)等綜合功能的平安產(chǎn)品。雖然，公司系統(tǒng)已經(jīng)部署了局部的思科PI*防火墻，但是思科PI*防火墻采用的是防火墻防護(hù)技術(shù)最初級(jí)的一種。思科PI*通過包過濾技術(shù)實(shí)現(xiàn)對(duì)用戶網(wǎng)絡(luò)的防護(hù)，這種技術(shù)無法應(yīng)對(duì)目前日益猖獗的混合式

50、威脅，也無法提供病毒防護(hù)功能。近一兩年，基于對(duì)邊界平安需求的全面考慮，許多平安廠商推出了新型的多功能網(wǎng)關(guān)，新型多功能網(wǎng)關(guān)就是在防火墻的根底上提供網(wǎng)關(guān)需要的其他平安功能，例如最常見的是在防火墻上增加虛擬專用網(wǎng)VPN功能。還有在防火墻上增加防病毒功能。也有更為先進(jìn)的是在防火墻上同時(shí)集成了虛擬專用網(wǎng)VPN、防病毒、入侵檢測(cè)、容過濾等全面平安功能。新型多功能網(wǎng)關(guān)是網(wǎng)關(guān)平安開展的趨勢(shì)，只有新型多功能網(wǎng)關(guān)才能真正讓網(wǎng)關(guān)位置成為平安防護(hù)體系的重要有力的組成局部。在公司網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)區(qū)域出口處安裝此類多功能集成網(wǎng)關(guān)平安產(chǎn)品，為用戶構(gòu)建鞏固的網(wǎng)絡(luò)防線。此類防火墻不但可以防止黑客入侵，而且提供入侵檢測(cè)/防護(hù)功能，

51、并且可以和防火墻自帶防病毒系統(tǒng)嚴(yán)密結(jié)合在一起，提供網(wǎng)關(guān)級(jí)的防病毒保護(hù)?？紤]到全省信息網(wǎng)移到綜合業(yè)務(wù)數(shù)據(jù)網(wǎng)上，我們?cè)诟鞯厥泄九c省公司連接的網(wǎng)關(guān)處均采用千兆防火墻，各地市公司到縣公司、銀行等采用百兆防火墻。通過防火墻可對(duì)不同平安區(qū)域之間的網(wǎng)絡(luò)連接活動(dòng)進(jìn)展嚴(yán)格的訪問控制，并且不僅僅如此，通過防火墻可對(duì)往來這些網(wǎng)絡(luò)之間的攻擊入侵和病毒傳播進(jìn)展有效的檢測(cè)和阻斷，從而將高平安區(qū)域有效的隔離保護(hù)起來，從網(wǎng)絡(luò)層到應(yīng)用層進(jìn)展立體化的區(qū)域邊界防御，通過實(shí)施該一體化的集成平安網(wǎng)關(guān)，使省公司和各地市公司部網(wǎng)絡(luò)的平安等級(jí)得到有效提升和保證。6.1省公司防火墻和集成平安網(wǎng)關(guān)的部署1省公司防火墻和集成平安網(wǎng)關(guān)部署示意圖老

52、大樓部署說明：用于Internet 出口訪問控制，已采用PI*防火墻，由于PI*采用的是ASA 算法狀態(tài)檢測(cè)技術(shù)，通過包過濾技術(shù)實(shí)現(xiàn)對(duì)用戶網(wǎng)絡(luò)的防護(hù)，這種技術(shù)無法應(yīng)對(duì)目前日益猖獗的混合式威脅，也無法提供病毒防護(hù)功能。因此在此方案中我們建議采用帶有防病毒、容過濾、入侵檢測(cè)、平安審計(jì)為一體的多功能集成平安網(wǎng)關(guān)。通過在集成平安網(wǎng)關(guān)上啟用相應(yīng)的平安策略，控制部用戶的對(duì)外訪問，并開啟防病毒功能以保證部用戶的對(duì)外訪問不受病毒侵害。另外，通過啟用反垃圾技術(shù)，保護(hù)部的效勞器免受垃圾的攻擊，并根據(jù)網(wǎng)絡(luò)的具體應(yīng)用在集成平安網(wǎng)關(guān)上啟用入侵檢測(cè)和入侵防護(hù)攻擊IDSIPS功能，保護(hù)互聯(lián)網(wǎng)網(wǎng)關(guān)處系統(tǒng)免受來自系統(tǒng)外的攻擊。

53、遠(yuǎn)程訪問虛擬通道VPN防火墻，其已采用PI*防火墻，在方案中在PI* VPN防火墻之后增加集成平安網(wǎng)關(guān)，用于移動(dòng)用戶對(duì)網(wǎng)訪問的數(shù)據(jù)解密后進(jìn)展病毒防護(hù)、容過濾等。在地區(qū)單位和省公司網(wǎng)絡(luò)連接邊界處、國網(wǎng)公司、華東公司與省公司網(wǎng)絡(luò)連接邊界處和電力三級(jí)網(wǎng)與省公司網(wǎng)絡(luò)連接邊界處分別部署帶有防病毒、容過濾、入侵檢測(cè)、平安審計(jì)為一體的多功能集成平安網(wǎng)關(guān)。并通過在集成平安網(wǎng)關(guān)上啟用相應(yīng)的平安策略，控制用戶的對(duì)外訪問，并開啟防病毒功能以保證用戶的對(duì)外訪問不受病毒侵害。在省公司兩臺(tái)CISCO 6506上分別增加1塊FWSM防火墻模塊，用于各VLAN之間的平安訪問控制。并通過此部署，可以嚴(yán)格控制用戶對(duì)效勞器區(qū)的訪問

54、控制。省公司防火墻和集成平安網(wǎng)關(guān)部署示意圖老大樓F5可供外網(wǎng)訪問的DNS,Mail,IMS效勞器群DMZ區(qū)局域網(wǎng)省信息中心機(jī)房各部門局域網(wǎng)防火墻防火墻ISP1ISP2移動(dòng)用戶Internet網(wǎng)管工作站OA效勞器認(rèn)證效勞器Web效勞器電力三級(jí)網(wǎng)*地區(qū)單位華東二級(jí)網(wǎng)1G光纖100M五類線各部門局域網(wǎng)集成平安網(wǎng)關(guān)FW1增加FW2增加FW5增加FW6增加國網(wǎng)公司FW3增加FW4增加2省公司防火墻和集成平安網(wǎng)關(guān)部署示意圖新大樓部署說明：1、在省公司與INTERNET、華東公司、國網(wǎng)公司、各地市公司信息三級(jí)網(wǎng)相連的網(wǎng)絡(luò)邊界采用兩層異構(gòu)防火墻系統(tǒng)，外層防火墻為已經(jīng)部署的專業(yè)平安設(shè)備，用于阻擋來自互聯(lián)網(wǎng)、國網(wǎng)

55、公司、華東公司等網(wǎng)絡(luò)攻擊和設(shè)置訪問控制策略。層防火墻系統(tǒng)采用集成平安網(wǎng)關(guān)。其中互連網(wǎng)平安網(wǎng)關(guān)采用雙機(jī)熱備工作方式，即高可用性HA方式，任何一臺(tái)設(shè)備出現(xiàn)問題，備機(jī)均可以迅速替換工作，網(wǎng)絡(luò)仍能正常運(yùn)轉(zhuǎn)。在層集成平安網(wǎng)關(guān)上啟用相應(yīng)的平安策略，控制部用戶的對(duì)外訪問，并開啟防病毒功能以保證部用戶的對(duì)外訪問不受病毒侵害。另外，啟用反垃圾技術(shù)，保護(hù)部的效勞器免受垃圾的攻擊，并根據(jù)網(wǎng)絡(luò)的具體應(yīng)用在集成平安網(wǎng)關(guān)上啟用入侵檢測(cè)和入侵防護(hù)攻擊IDSIPS功能，保護(hù)互聯(lián)網(wǎng)網(wǎng)關(guān)處系統(tǒng)免受來自系統(tǒng)外的攻擊。2、遠(yuǎn)程訪問虛擬通道VPN防火墻，其已采用PI*防火墻，在方案過在將PI* VPN防火墻之后增加集成平安網(wǎng)關(guān)，用于移

56、動(dòng)用戶對(duì)網(wǎng)訪問解密后的數(shù)據(jù)進(jìn)展防病毒、容過濾等。3、通過在信息三級(jí)網(wǎng)路由系統(tǒng)前增加集成平安網(wǎng)關(guān)過濾掉病毒等混合式威脅進(jìn)入到信息三級(jí)網(wǎng)，從而保護(hù)各地市公司的網(wǎng)絡(luò)平安。4、通過在城域網(wǎng)之前部署集成平安網(wǎng)關(guān)過濾掉地區(qū)單位病毒等混合式威脅進(jìn)入省公司網(wǎng)。5、在省公司兩臺(tái)效勞器區(qū)三層交換機(jī)上分別增加1塊FWSM防火墻模塊，用于對(duì)效勞器的平安訪問控制。注：結(jié)合省公司老大樓和新大樓的部署情況，建議總共增加6臺(tái)集成平安網(wǎng)關(guān)其中5臺(tái)千兆集成平安網(wǎng)關(guān)，1臺(tái)百兆集成平安網(wǎng)關(guān)；2塊思科FWSM防火墻模塊。6.2地市公司防火墻和集成平安網(wǎng)關(guān)的部署對(duì)公司系統(tǒng)各地市公司來說，其中一大威脅就是縣公司的防御比擬脆弱，一旦*縣公司

57、局部網(wǎng)絡(luò)出現(xiàn)平安事件如蠕蟲病毒蔓延等，勢(shì)必將導(dǎo)致該威脅在整個(gè)大網(wǎng)中進(jìn)展蔓延和傳播，通過將縣公司的廣域網(wǎng)連接路由器與地市公司連接省公司的路由器隔離開來，將各縣公司納入到地市公司的平安管理圍，確保各縣公司網(wǎng)絡(luò)不對(duì)信息三級(jí)網(wǎng)構(gòu)成威脅。部署說明：1、在地市公司與縣公司相連的路由器前增加集成平安網(wǎng)關(guān)，防止縣公司網(wǎng)絡(luò)平安威脅到信息網(wǎng)，并通過在集成平安網(wǎng)關(guān)上啟用相應(yīng)的平安策略，控制縣公司用戶的對(duì)信息網(wǎng)的訪問，并開啟防病毒功能以防止縣公司的病毒侵害到信息網(wǎng)。另外，在集成平安網(wǎng)關(guān)上啟用防攻擊入侵檢測(cè)/入侵防護(hù)IDSIPS功能，使信息網(wǎng)絡(luò)系統(tǒng)免受來自縣公司的攻擊。2、在地市公司與省公司相連的路由器后增加千兆防火墻

58、，隔離各地市公司網(wǎng)絡(luò)的相互威脅，并通過防火墻設(shè)置訪問控制。3、地市公司與銀行相連的前置機(jī)后增加集成平安網(wǎng)關(guān)，通過設(shè)置訪問策略，僅允許銀行訪問前置機(jī)IP地址和數(shù)據(jù)應(yīng)用端口號(hào)。備注：1.在市公司與銀行相連的集成平安網(wǎng)關(guān)可以采用市公司與省公司相連的退下來的百兆防火墻代替。2.在地市公司與省公司廣域處的網(wǎng)關(guān)防火墻可以使用在交換機(jī)上增加防火墻模塊代替，增加防火墻模塊的優(yōu)點(diǎn):不僅在省公司連接的廣域網(wǎng)網(wǎng)關(guān)處實(shí)現(xiàn)訪問控制，而且在不同的VLAN之間的訪問控制也可以實(shí)現(xiàn)，尤其是對(duì)效勞器區(qū)的訪問控制。6.3 技術(shù)要求1、集成平安網(wǎng)關(guān)主要功能和技術(shù)要求如下：采用網(wǎng)絡(luò)處理器NetworkProcessor：NP和專用集

59、成電路ASIC架構(gòu)。集成防火墻、基于協(xié)議異常和基于攻擊特征的入侵防御及入侵檢測(cè)、病毒防護(hù)、容過濾、電子過濾等?？梢蕴峁┘泄芾?，通過集中的日志記錄、警報(bào)、報(bào)告和策略配置簡(jiǎn)化網(wǎng)絡(luò)平安的管理。支持路由、網(wǎng)絡(luò)地址轉(zhuǎn)換NAT和透明模式等。支持置認(rèn)證數(shù)據(jù)庫認(rèn)證、支持Radius效勞器認(rèn)證。支持策略路由。防火墻本身應(yīng)具有較強(qiáng)的抗攻擊能力。支持靜態(tài)地址轉(zhuǎn)換、動(dòng)態(tài)地址轉(zhuǎn)換、端口轉(zhuǎn)換、反向IP映射、雙向地址轉(zhuǎn)換等。支持流量管理和控制。支持OS、入侵檢測(cè)庫、防病毒庫、容過濾庫等在線升級(jí)。支持標(biāo)準(zhǔn)日志記錄和審計(jì)。支持標(biāo)準(zhǔn)聯(lián)動(dòng)協(xié)議，可以與入侵檢測(cè)系統(tǒng)、網(wǎng)絡(luò)防病毒系統(tǒng)、信息審計(jì)系統(tǒng)、認(rèn)證系統(tǒng)、VPN設(shè)備、日志效勞器等進(jìn)

60、展聯(lián)動(dòng)。2、防火墻主要功能和技術(shù)要求如下：采用網(wǎng)絡(luò)處理器NetworkProcessor：NP和專用集成電路ASIC架構(gòu)。可以提供集中管理，通過集中的日志記錄、警報(bào)、報(bào)告和策略配置簡(jiǎn)化網(wǎng)絡(luò)平安的管理。支持路由、網(wǎng)絡(luò)地址轉(zhuǎn)換NAT和透明模式等。支持置認(rèn)證數(shù)據(jù)庫認(rèn)證、支持Radius效勞器認(rèn)證。支持策略路由。防火墻本身應(yīng)具有較強(qiáng)的抗攻擊能力。支持靜態(tài)地址轉(zhuǎn)換、動(dòng)態(tài)地址轉(zhuǎn)換、端口轉(zhuǎn)換、反向IP映射、雙向地址轉(zhuǎn)換等。支持流量管理和控制。支持標(biāo)準(zhǔn)日志記錄和審計(jì)。支持標(biāo)準(zhǔn)聯(lián)動(dòng)協(xié)議，可以與入侵檢測(cè)系統(tǒng)、網(wǎng)絡(luò)防病毒系統(tǒng)、信息審計(jì)系統(tǒng)、認(rèn)證系統(tǒng)、VPN設(shè)備、日志效勞器等進(jìn)展聯(lián)動(dòng)。7*電力信息網(wǎng)網(wǎng)絡(luò)防病毒方案7.